En el dinámico entorno de las redes empresariales, garantizar una conectividad a Internet robusta y confiable es fundamental. La implementación de múltiples enlaces de proveedores de servicios de Internet (ISP) y la configuración adecuada de un firewall como Fortigate no solo mejoran la disponibilidad, sino que también optimizan el rendimiento a través del balanceo de carga. Este artículo detalla el proceso paso a paso para configurar un Fortinet Fortigate, específicamente en la versión FortiOS 5.2, para lograr tanto la redundancia como el balanceo de enlaces de Internet. FortiOS 5.2 introduce mejoras significativas en la inteligencia del dispositivo y funcionalidades que son particularmente útiles para este tipo de configuraciones.
Diseño de la Topología de Red
Para comprender mejor el proceso, comenzaremos con una topología de red de ejemplo básica. En esta configuración, disponemos de dos enlaces de proveedores de red distintos. El Enlace 1 se configura en la Interfaz WAN1 del Fortigate con un direccionamiento IP manual. Por otro lado, el Enlace 2 se configura en la Interfaz WAN2 del Fortigate utilizando direccionamiento IP por DHCP. Esta configuración dual nos permite explorar tanto la gestión manual como la automática de las interfaces de red, ofreciendo flexibilidad según las necesidades específicas de cada proveedor y entorno.
Configuración de SD-WAN en Fortigate | SD-WAN configuration in Fortigate
Balanceo Dinámico de Carga
La mayoría de los equipos Fortigate presentan interfaces predefinidas como WAN. Si bien todas las interfaces pueden ser utilizadas como enlaces a Internet, estas se designan por conveniencia. Para gestionar las interfaces del equipo Fortigate a través de la interfaz gráfica, se debe navegar a la ruta: SYSTEM -> Network -> Interfaces.
Inicialmente, es posible que no tengamos ninguna interfaz WAN configurada. En este caso, procederemos a editar la interfaz WAN1 seleccionándola y haciendo clic en "Editar". Es crucial especificar el tipo de direccionamiento en "Addressing Mode" como MANUAL. Posteriormente, declararemos la dirección IP de la interfaz, que en este ejemplo sería la dirección 10.10.1.2/255.255.255.0. Tras completar estos ajustes, se aplicarán los cambios haciendo clic en el botón "OK" en la parte inferior.
Acto seguido, es necesario generar la ruta estática para nuestro enlace de WAN1. Esto se realiza navegando a la ruta: ROUTER -> STATIC ROUTES -> Create New.
Nota: Si no encuentra la sección "Router", asegúrese de tener habilitada la opción "Advanced Routing" en la ruta System -> Config -> Features.
En la configuración de la ruta estática, es necesario declarar el destino como 0.0.0.0/0.0.0.0. Esto se debe a que deseamos una ruta con destino a cualquier lugar (Internet). Seleccionaremos la interfaz WAN1 y declararemos nuestra Puerta de Enlace (Gateway) con la dirección IP de nuestro router del Enlace 1, que en este caso es 10.10.1.1. Finalmente, y de manera muy importante, se debe declarar la distancia administrativa con un valor de "5".
Regresaremos nuevamente a la configuración de nuestro enlace de WAN2 en la sección de Interfaces. Esta vez, en "Addressing Mode", elegiremos la opción DHCP. La asignación de la dirección IP se realiza de forma automática, por lo que también se asignará la Puerta de Enlace de manera automatizada, sin requerir la creación de una ruta estática adicional. Es relevante observar que la distancia administrativa, por defecto, tendrá un valor de "5", un valor idéntico a la distancia administrativa de nuestro enlace WAN1.
Una vez configurados ambos enlaces, es esencial supervisar el monitor de enrutamiento en la ruta: ROUTER -> MONITOR -> ROUTING MONITOR.
En este apartado, podemos verificar que nuestras rutas estén correctamente declaradas. Dado que ambas rutas estáticas hacia Internet poseen una distancia administrativa idéntica de "5", Fortigate interpretará que ambos enlaces están configurados para trabajar en ECMP (Equal Cost Multi-Path), lo que habilita el balanceo dinámico de carga.
Redundancia de Enlaces
Para implementar la redundancia de enlaces, basta con modificar la distancia administrativa de cualquiera de nuestros dos enlaces. Fortigate seleccionará como ruta predeterminada el enlace que posea la MENOR distancia administrativa. Para este ejemplo, realizaremos esta modificación en nuestro enlace WAN1.
Modificaremos el valor de la distancia administrativa de nuestra WAN1 para que sea la ruta que Fortigate tome como predeterminada. En caso de que WAN1 falle o se desconecte, el siguiente enlace con la distancia administrativa más cercana (en este caso, un valor menor a 5, como 4) entrará en funcionamiento automáticamente. Si la configuración se realizó de manera exitosa, la tabla de enrutamiento debería reflejar la siguiente estructura, donde la ruta con la menor distancia administrativa es la activa.
Monitores de Salud para Enlaces (Link Health Monitor)
A continuación, debemos dirigirnos a la ruta: ROUTER -> SETTINGS. Aquí configuraremos un monitor de salud (Link Health Monitor) para que Fortigate pueda determinar cuándo un enlace de Internet no tiene conexión o está inoperativo.
Iniciaremos creando un nuevo monitor. Añadiremos la interfaz para WAN1, habilitaremos la casilla "Health Check" y elegiremos "PING" como el tipo de prueba en "Probe Type". Seleccionaremos como servidor de pruebas la dirección 8.8.8.8, comúnmente conocida como los DNS de Google, ya que es una dirección IP que generalmente responde de vuelta. No obstante, se recomienda elegir el servidor de pruebas de manera criteriosa, basándose en las características de su enlace de Internet.
Las opciones restantes tienen el siguiente significado:
- Probe Interval: El tiempo en segundos entre cada prueba de ping.
- Failure Threshold: El número de pings sin respuesta antes de considerar que el enlace no está conectado.
- Recovery Threshold: El número de pings respondidos para determinar que el enlace ha vuelto a estar operativo.
- HA Priority: Se utiliza para asignar un número de prioridad para la alta disponibilidad (el valor predeterminado es 1).
Marcaremos la opción "Update Routing Table when Gateway Detection Status Changes" con la finalidad de que nuestra tabla de enrutamiento se modifique automáticamente en función del estado del enlace.
Este procedimiento es esencial para garantizar que, en caso de fallo de un enlace principal, el Fortigate pueda detectar la interrupción y redirigir el tráfico a través del enlace secundario de manera automática. La configuración de estos monitores de salud es un componente crítico para una estrategia de alta disponibilidad y continuidad del negocio.
Configuración de Clúster y Alta Disponibilidad (HA)
En un escenario más avanzado, se puede configurar dos firewalls Fortigate en modo clúster para lograr alta disponibilidad (HA). Es un requisito indispensable que ambos firewalls posean la misma versión de firmware. En este ejemplo, ambos dispositivos tienen la versión 3, con una compilación 400.
Para configurar el clúster, se accede a "System" > "Config". En la opción "Mode", se define el estado del firewall. Si se selecciona "Standalone", el firewall no pertenecerá a ningún clúster. El modo "Active-Passive" implica que el firewall en modo pasivo permanecerá inactivo o a la espera de que el dispositivo activo falle. Sin embargo, la configuración más lógica para el balanceo de carga y la distribución de recursos es el modo "Active-Active".
La opción "Priority" determina la prioridad de este firewall dentro del clúster. Se pueden configurar varios dispositivos con prioridades diferentes para que gestionen la carga de manera distribuida. Comúnmente, todos los dispositivos se configuran con la misma prioridad.
En "Group Name", se especifica el nombre del clúster; en este caso, se utilizará "CLUSTER". Se asigna una contraseña para cuando se desee unir más firewalls a este clúster.
Se habilita "Enable Session Pick-up" para asegurar que las sesiones activas no se pierdan en caso de una caída, lo cual es un objetivo fundamental de un clúster de alta disponibilidad.
Más abajo, se configuran las interfaces que se desean monitorizar con los Logs ("Port Monitor"), que típicamente son las interfaces externas. En "Heartbeat Interface", se marcan las interfaces que estarán conectadas entre los firewalls. En estos Fortigate, lo habitual es conectarlos a través de un puerto libre, como en este ejemplo se utiliza la DMZ. Por lo tanto, se marca esta casilla y se conectan los firewalls con un cable cruzado entre las interfaces de la DMZ. Tras aplicar la configuración con "OK", se debe ser paciente, ya que el Fortigate requerirá un tiempo considerable para reiniciarse y crear el clúster.
Posteriormente, se repite el mismo procedimiento en el otro firewall. Si en el primer dispositivo se configuró la IP 192.168.2.1, en el segundo se utilizará 192.168.2.2, introduciendo el mismo nombre de clúster y la misma contraseña para unirse a él. Al hacer clic en "OK", y tras el reinicio, la consola principal mostrará una interfaz modificada, indicando la presencia de un clúster y sus miembros.
Se puede realizar una prueba, como un ping hacia el exterior, y luego desconectar abruptamente uno de los dispositivos (por ejemplo, cortando la alimentación). Inicialmente, el ping se interrumpirá, ya que el clúster de Fortigate aún tiene margen de mejora en la transición. Sin embargo, en un par de segundos, la conexión se restablecerá a través del otro Fortigate.
Redundancia WAN en Fortigate: Una Perspectiva Detallada
Los compañeros del Encora Team han estado trabajando en una serie de publicaciones sobre la tecnología Fortinet, respondiendo a la demanda de clientes y amigos. Dentro de esta serie, se aborda la configuración de redundancia WAN en los dispositivos Fortigate. La implementación de una solución de firewall robusta, independientemente del fabricante, debe considerar la redundancia WAN como una preocupación primordial. Si solo se dispone de un cortafuegos y este falla o se desconfigura, la empresa quedaría sin conexión a Internet.
Este artículo se centra en mostrar una configuración sencilla de Fortigate para lograr redundancia en la salida a Internet. De esta manera, si la línea ADSL principal falla o se pierde la conectividad por cualquier motivo, la conexión se redirigirá automáticamente a través de la línea ADSL secundaria. Este proceso se realizará con una interrupción mínima del tráfico de los usuarios de la LAN hacia Internet.
La configuración se aplicará a un Fortigate 60D, con una línea principal de 20MB conectada al puerto WAN 2 y una línea secundaria de 6MB conectada al puerto WAN 1. Con este escenario base, se accede a la sección "System -> Network -> Interfaces" y se configura cada interfaz WAN del Fortigate con una IP libre del mismo rango que el router al cual apuntará cada una como salida.
Creación de Rutas Estáticas para Redundancia
Una vez realizada la configuración de las interfaces, se procede a la sección "System -> Network -> Routing" para crear las rutas estáticas necesarias para la redundancia y priorización correcta de ambas líneas ADSL. Para ello, se pulsa en "Create New".
En la pantalla de creación de la ruta, se indica como red destino 0.0.0.0/0.0.0.0. Se selecciona WAN 1 como dispositivo y, en el campo "Gateway", se indica la IP del router conectado a la WAN 1. En el campo "Distance", se introduce el valor 20. Más adelante se explicará el motivo de este valor.
Se pulsa "OK" para guardar los cambios. A continuación, se sigue el mismo proceso de creación de una ruta estática para el dispositivo WAN 2 (la línea principal). En esta ocasión, en el campo "Distance", se indica el valor 10. Este valor de distancia menor hará que el Fortigate, al decidir por dónde salir hacia Internet, escoja esta segunda ruta.
Se guardan los cambios pulsando "OK". Si ya existen las políticas correspondientes que permiten el tráfico entre la LAN (puerto Internal 1) y las interfaces WAN 1 y WAN 2, la red LAN saldrá por defecto por el ADSL de 20MB.
Optimización con Dead Gateway Detection
Para una configuración óptima, se debe establecer el parámetro Dead Gateway Detection en la unidad Fortigate. Este parámetro permite controlar la actividad del enlace hacia el siguiente salto definido. Si se define la IP 8.8.8.8 como siguiente salto, Fortigate evaluará periódicamente si la IP responde a ping. En caso afirmativo, se habrá verificado la actividad de esta línea. En caso negativo, se marcará el estado del enlace como "Down" y la tabla de Routing saltará automáticamente a la segunda línea definida. A continuación, se muestra un ejemplo de la configuración de Dead Gateway Detection.
De esta manera, en caso de que la línea principal falle o se pierda el servicio en ella, Fortigate detectará que esa ruta (con distancia 10) ya no está disponible, activando de forma transparente la ruta secundaria configurada. La redundancia WAN en Fortigate se consigue así de manera eficiente y automática.